MadMxShell Bakdörr sprids genom skadliga annonser
En nyligen malvertiserande kampanj som missbrukar Google Ads involverar en serie webbplatser som liknar ett legitimt IP-skannerverktyg, som syftar till att distribuera en ny bakdörr vid namn MadMxShell. Forskare från Zscaler ThreatLabz fann att angriparna registrerade många liknande domäner med hjälp av typosquatting-taktik. De använde Google Ads för att marknadsföra dessa domäner och utnyttjade specifika söktermer för att locka besökare. Cirka 45 domäner skapades mellan november 2023 och mars 2024, och de utgav sig som olika mjukvaruverktyg som Advanced IP Scanner och ManageEngine. Detta är det första tillfället där en sådan metod har använts för att sprida en komplex Windows-bakdörr.
Initial attack börjar med skadlig JavaScript
Offer som söker efter dessa verktyg hänvisas till vilseledande webbplatser som innehåller JavaScript-kod som utlöser nedladdning av en skadlig fil ("Advanced-ip-scanner.zip"). Inuti ZIP-filen finns två filer: "IVIEWERS.dll" och "Advanced-ip-scanner.exe." Den senare använder DLL-sidoladdning för att initiera infektionsprocessen. DLL:n injicerar sedan skalkod i EXE-filen via process ihålig, vilket packar upp ytterligare filer – "OneDrive.exe" och "Secur32.dll." Den legitima OneDrive.exe missbrukas för att ladda Secur32.dll och exekvera bakdörren med skalkoden, samtidigt som den etablerar persistens och inaktiverar Microsoft Defender Antivirus.
MadMxShell Bakdörr kommer med olika verktygslåda
Bakdörren, uppkallad efter sin användning av DNS MX-frågor för kommando-och-kontroll (C2), har funktioner som att samla in systeminformation, utföra kommandon och hantera filer. Den kommunicerar med C2-servern ("litterbolo[.]com") med hjälp av DNS-tunnling, och använder olika tekniker för att undvika säkerhetsåtgärder, inklusive flera stadier av DLL-sidoladdning och antidumpningsmetoder.
Även om ursprunget och motiven för operatörerna av skadlig programvara förblir oklara, upptäckte Zscaler två konton associerade med dem på underjordiska forum, skapade med e-postadressen wh8842480@gmail[.]com. Dessa forum har sett diskussioner relaterade till att skapa Google AdSense-tröskelkonton, vilket tyder på angriparnas intresse för en långvarig malvertisingkampanj.